一种基于旁路网络全流量与行为特征DGA域名识别方法
基本信息
| 申请号 | CN202010456649.X | 申请日 | - |
| 公开(公告)号 | CN111654487A | 公开(公告)日 | 2020-09-11 |
| 申请公布号 | CN111654487A | 申请公布日 | 2020-09-11 |
| 分类号 | H04L29/06(2006.01)I;H04L29/12(2006.01)I | 分类 | 电通信技术; |
| 发明人 | 贵帅;黄跃珍;高才;郭晓冬;唐锡南 | 申请(专利权)人 | 南京云利来软件科技有限公司 |
| 代理机构 | - | 代理人 | - |
| 地址 | 210000江苏省南京市秦淮区光华东街1号1-2-1室 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明涉及基于旁路网络全流量与行为特征DGA域名识别方法,通过旁路监听方式提取DNS流量信息,在提取到的DNS流量中通过DGA行为刻画分析,先通过流量特征找出可疑IP,进一步分析相关域名产生DGA域名及相关请求IP的告警,通过交换机旁路镜像端口接收用户网络流量,分离出DNS流量进行聚合;提取相关特征值存入数据库进行分析技术来解决DGA域名难以识别难题。本发明通过对DGA进行行为分析,使用启发式算法设计多级规则进行管道式多级聚合处理,辅以域名长度检查及白名单清洗,解决了目前机器学习算法需逐个检查流量中域名,执行效率低,以及对新DGA变种识别能力差的难题,极大地降低了运算量和规则复杂度,提高了对新变种的识别能力。 |
